Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

YAC wirus. FRST logi - Wyskakujące reklamy w chrome, przekierowywanie

11 Lut 2017 01:13 705 9
  • Poziom 9  
    Witam, proszę o pomoc, standardowo nie można usunąć. Przeglądarka wariuje (chrome), przekierowuje mnie na inne strony, otwierają się same nowe strony, wyskakują reklamy. Skanowałem komputer programami AdAware, JRT, jak i również czyściłem rejestr RegCleanerem. Nic nie pomogło.

    1. Przekierowywanie na strony o dziwnych domenach typu http://search5.fvpimageviewer.com/search/web?fcoid=417&q=dgg (następuję kiedy w pasku adresu nie wpiszę "www." , tylko zwykłe słowo)
    2. W lewym dolnym rogu wyskakuje Reklama za "5..4..3..2..1" powered by 3xhub, następnie otwiera na cały ekran nowe okno reklamy.
    3. I wiele innych dziwnych rzeczy.
  • Pomocny post
    Poziom 42  
    Otwórz notatnik systemowy i wklej:
    CloseProcess:
    Task: {62D58708-3581-45B9-82AB-784B0979BBA4} - System32\Tasks\Wgecultprahersh Schedule => C:\Program Files (x86)\Drogotionponopy\shgght.exe
    Task: {76E824B8-812A-4A4F-8823-0E9BFBA16FF4} - System32\Tasks\{329B63E5-C6A0-4DCA-8DCE-F8B2E7265D3B} => pcalua.exe -a "C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe"
    2017-02-09 21:36 - 2017-01-20 09:56 - 00256432 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSvc.dll
    2017-02-09 21:36 - 2016-12-02 06:43 - 00813056 ____N () C:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll
    2017-02-09 21:36 - 2016-05-23 03:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll
    2017-02-09 21:36 - 2017-01-20 09:56 - 00975080 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll
    2017-02-09 21:36 - 2016-12-02 05:45 - 00223864 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafenpf.dll
    Hosts:
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: F - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: {7b117979-d425-11e6-8ef6-d017c2d564f7} - E:\_AUTORUN\AUTORUN.EXE
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: {cd6585fd-becb-11e6-8011-d017c2d564f7} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: {da141526-9d29-11e6-b3fd-806e6f6e6963} - D:\Bin\Instv2.exe
    BootExecute: autocheck autochk * lsdel.exe
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1856018360-2948660585-4012233217-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1856018360-2948660585-4012233217-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    FF Homepage: Firefox\Firefox\Profiles\aabdwqqb.default -> hxxp://www.searchinme.com/?type=hp&ts=148...rom=official&uid=TS128GSSD370S_C981012324
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    CHR DefaultSearchKeyword: ChromeDefaultData -> amisites
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\PepperFlash\pepflashplayer.dll => Brak pliku
    CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\pdf.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\pepflashplayer32_23_0_0_205.dll => Brak pliku
    CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll => Brak pliku
    CHR Profile: C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-11] <==== UWAGA
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-12-02] (Elex do Brasil Participações Ltda)
    S2 EggnessSU; "C:\Users\Maciek\AppData\Local\Temp\1\BaofengUpdate_U.exe" /i [X] <==== UWAGA
    S2 Voduphtharck; C:\Program Files (x86)\Drogotionponopy\anorikSystem.dll [X]
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
    R1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2017-02-10 02:50 - 2017-02-10 02:52 - 00000000 ____D C:\AdwCleaner
    2017-02-09 21:36 - 2017-02-09 21:36 - 00000000 ____D C:\Users\Maciek\AppData\Roaming\Elex-tech
    2017-02-09 21:36 - 2017-02-09 21:36 - 00000000 ____D C:\Program Files (x86)\Elex-tech
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.
  • Pomocny post
    Spec od komputerów
    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.
  • Poziom 9  
    Zrobione, folder Elex-Tech (YAC) nadal istnieje, nie da się go usunąć, w procesach iSafetray.exe nadal istenieje. Przy wchodzeniu teraz na elektrodę od razu przekierowało na stronę: notification.security-notice.xyz i później na jakąś inną - reklama sklepu biedronka.

    Po czynności z FRST, nic pozatym nie skanowałem, logi:
  • Spec od komputerów
    To zbedny fixlog, miales zamiescic nowe logi ze skanowania.
  • Spec od komputerów
    Nie pobieraj programow z dobrychprogramow przy pomocy ich menadzera pobierania, ktory instaluje szkodliwe dodatki.

    Zrob kopie zakladek z Chrome, skrypt usunie profil przegladarki. Masz jeszcze drugi profil Profile 1, mozesz zmienic na niego w ustawieniach Chrome.

    Nowy Fixlist.txt dla FRST:
    CloseProcesses:
    ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    2017-02-09 21:36 - 2017-01-20 09:56 - 00256432 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSvc.dll
    2017-02-09 21:36 - 2016-12-02 06:43 - 00813056 ____N () C:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll
    2017-02-09 21:36 - 2016-05-23 03:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll
    2017-02-09 21:36 - 2017-01-20 09:56 - 00975080 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll
    2017-02-09 21:36 - 2016-12-02 05:45 - 00223864 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafenpf.dll
    2017-02-09 21:36 - 2016-05-23 03:37 - 00179200 ____N () C:\Program Files (x86)\Elex-tech\YAC\libpng.dll
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe
    () C:\Program Files (x86)\Elex-tech\YAC\iSafeTray.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2016-10-28]
    ShortcutTarget: FAH.lnk -> C:\Program Files\WinZip\FAH\FAHConsole.exe (Nico Mak Computing)
    BootExecute: autocheck autochk * lsdel.exe
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1856018360-2948660585-4012233217-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    FF Extension: (FF Adr) - C:\Users\Maciek\AppData\Roaming\Firefox\Firefox\Profiles\aabdwqqb.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-02-09] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Maciek\AppData\Roaming\Firefox\Firefox\Profiles\aabdwqqb.default\searchplugins\searchinme.xml [2017-02-09]
    CHR Profile: C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-11] <==== UWAGA
    C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-12-02] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X]
    S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
    2017-02-11 16:27 - 2017-02-11 16:27 - 00000000 ____D C:\Users\Maciek\Downloads\FRST-OlderVersion
    2017-02-11 02:54 - 2016-05-19 07:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys
    2017-02-11 00:24 - 2017-02-11 00:24 - 01271544 _____ (Fiho ) C:\Users\Maciek\Downloads\RegCleaner-11442-dp.exe
    2017-02-11 00:24 - 2017-02-11 00:24 - 00553687 _____ C:\Users\Maciek\Downloads\RegCleaner(dobreprogramy.pl).exe
    2017-02-09 21:36 - 2017-02-09 21:36 - 00000000 ____D C:\Program Files (x86)\Elex-tech
    2017-01-19 21:59 - 2017-01-19 21:59 - 00000000 _____ C:\Program Files (x86)\metadata
    2017-02-10 22:47 - 2017-02-11 00:19 - 0000040 _____ () C:\Program Files (x86)\settings.dat
    EmptyTemp:


    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/


    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.
  • Poziom 9  
    A więc tak, z zakładkami już było i tak za późno, bo po wykonaniu pierwszego skryptu usunęło je.
    Wykonanie skryptu drugiego i skan AdwCleanerem zrobione, ale YAC nadal istniał, dopiero został usunięty przy użyciu Mbam'a. Obecnie chciałem wykonać skan FRST, ale program po naciśnięciu polecenia "skanuj" sam się wyłącza. Mimo to wygląda, że komputer jest w końcu czysty.

    Oczywiście dziękuję za pomoc, i narazie nie zamykam tematu, bo nie wiem czy jednak problem został definitywnie zażegnany.

    @edit
    Ściągnałem od nowa FRST, i zrobiłem nowe skany:
  • Poziom 9  
    A więc czysto, dziękuję raz jeszcze.